Утвержденный парламентом второй блок поправок, направленных на борьбу с мошенничеством, предусматривает возможность возмещения гражданам средств, похищенных злоумышленниками. Выплачивать компенсации будут банки или сотовые операторы — в зависимости от того, насколько они соблюдают установленные для них требования. В частности, операторы связи обязаны обнаруживать и блокировать вызовы с подозрительных номеров, а банки — выявлять случаи заражения устройств своих клиентов.
Совет Федерации утвердил второй пакет изменений, нацеленных на противодействие мошенничеству в сфере информационно-коммуникационных технологий. Данный документ был подготовлен правительством, весной 2026 г. он прошел первое чтение в Госдуме, а летом 2026 г. был одобрен во втором и третьем чтениях. Первый пакет антимошеннических поправок был принят в 2025 г. и, среди прочего, предполагал создание Минцифры государственной информационной системы «Антифрод», к которой обязаны подключаться государственные органы, банки, операторы связи и интернет-компании.
Часть второго пакета антимошеннических мер включает, помимо прочего, новые правила работы для кредитных организаций и платежных систем. Для этого вносятся изменения в законы «О Центральном банке (ЦБ)», «О банках и банковской деятельности», «О национальной платежной системе» и «О создании ГИС «Антифрод»». В частности, планируется создать Единую систему учета платежных карт (ЕСУПК), задача которой — учет карт, применяемых для денежных переводов. Оператором этой системы станет НСПК («Национальная система платежных карт»).
Центральный банк определит порядок формирования и ведения ЕСУПК. Требования к защите информации в этой системе установит Центробанк по согласованию с ФСБ (Федеральная служба безопасности) и ФСТЭК (Федеральная служба по техническому и экспортному контролю). Пользователями ЕСУПК станут Центробанк и операторы денежных переводов (в том числе банки).
ЕСУПК будет включать сведения: о номерах и типах платежных карт, используемых для переводов денег и выданных клиентам — физическим лицам; о полученных операторами переводов ИНН (идентификационных номерах налогоплательщиков); о количестве карт, предоставленных одному клиенту — физическому лицу. Операторы денежных переводов обязаны будут передавать эти данные в ЕСУПК в порядке, установленном Центробанком.
Оператор ЕСУПК будет обязан: обеспечивать работу этой системы; гарантировать защиту информации в ней; по согласованию с Центробанком устанавливать форматы взаимодействия с операторами денежных переводов; предоставлять необходимые сведения операторам денежных переводов.
ЕСУПК будет определять регламент передачи данных операторам денежных переводов. Кроме того, Центральный банк сможет запрашивать у оператора ЕСУПК сведения в соответствии с условиями, прописанными в двустороннем соглашении. Интересно, что в редакции законопроекта, одобренной при первом чтении, оператор ЕСУПК обязан был передавать информацию операторам переводов безвозмездно. Однако в итоговом варианте закона это положение отсутствует.
В первоначальной версии законопроекта, принятой в первом чтении, оператор переводов мог выдать одному клиенту — физическому лицу не больше десяти платежных карт, а все операторы вместе — не более двадцати. В финальной версии закона сохранилось только общее ограничение — двадцать карт от всех операторов переводов. При этом совет директоров ЦБ сможет определять ситуации, при которых клиент — физическое лицо вправе получить больше двадцати карт.
Прежде чем выдать платежную карту клиенту — физическому лицу, оператор переводов обязан запросить у оператора ЕСУПК данные о количестве карт, которые уже использует этот клиент. Если лимит будет превышен, в выдаче новой карты последует отказ.
В соответствии с поправками, внесенными во втором чтении в пакет антимошеннических законопроектов, кредитные организации и филиалы иностранных банков, выступающие операторами переводов, должны передавать в ЕСУПК номера платежных карт, выданных клиентам — физическим лицам и используемых для переводов, номера карт, которые больше не используются, а также сведения о типах этих карт. Оператор ЕСУПК не имеет права разглашать информацию, относящуюся к банковской тайне, третьим сторонам. За нарушение этого правила НСПК и ее сотрудники понесут ответственность по закону, включая возмещение причиненного ущерба.
Согласно поправкам, утвержденным во втором чтении, пользователи системы «Антифрод» при работе с ней обязаны предпринимать меры для предотвращения и пресечения противоправных действий с использованием ИКТ, а также направлять в эту систему сведения о выявленных признаках таких действий. Перечень этих мер, состав сведений, сроки и порядок их передачи установит правительство по согласованию с ФСБ.
Физическое лицо, которое считает, что в отношении него совершено преступление с использованием ИКТ, может направить информацию об этом в ГИС «Антифрод» через ЕПГУ (Единый портал государственных и муниципальных услуг). Порядок обращения определит правительство. Порядок использования полученной таким образом информации также установит правительство по согласованию с ФСБ.
Обязанность банков обеспечивать антивирусную защиту клиентов
Организация, осуществляющая переводы денег, должна гарантировать защиту своего программного обеспечения, которое клиенты применяют для таких операций, включая веб-сайт и мобильное приложение. Для этого необходимо использовать средства информационной безопасности, прошедшие в установленном порядке оценку на соответствие требованиям российского законодательства в области защиты информации. Эти средства обязаны обнаруживать факты воздействия вредоносных программ на ПО клиента до того, как средства будут списаны.
Оператор переводов обязан предоставить клиенту — физическому лицу — возможность применять средства защиты от вредоносного ПО на его устройстве, если клиент дал на это согласие, путем подключения таких средств. Соответствующее условие должно быть прописано в договоре между оператором и клиентом.
Если появляются данные о том, что вредоносное ПО повлияло на пользовательское ПО, оператор переводов должен отказать в проведении транзакции с использованием платежных карт, электронных денег или через Систему быстрых платежей (СБП). При этом оператор обязан немедленно уведомить об этом клиента и одновременно сообщить, что перевод можно совершить с другого устройства или при личном визите клиента.
Согласно поправкам, принятым во втором чтении, если клиент после получения предупреждения от оператора переводов подтверждает операцию, оператор вправе в течение шести часов не выполнять эту операцию или отказать в ее проведении, а также в течение шести часов не совершать последующие повторные транзакции. Однако по истечении шести часов оператор обязан незамедлительно принять к исполнению подтверждение распоряжения клиента в электронной форме или выполнить последующую повторную операцию.
Операторы переводов должны будут передавать в государственную информационную систему «Антифрод» сведения об абонентских номерах, которые их клиенты используют для переводов. Состав и порядок передачи такой информации определит Центробанк по согласованию с Минцифры. Кроме того, для формирования базы данных о случаях и попытках перевода денег без добровольного согласия клиента, операторы обязаны направлять в Центробанк в рамках своей системы управления рисками информацию о клиентах и их электронных средствах платежа. Порядок предоставления этих данных также установит Центробанк. На сайте Центробанка будет размещена форма для подачи такой информации.
Центральному банку предстоит передавать в систему «Антифрод» данные об абонентских номерах, включая те, что применяются как идентификаторы получателя средств при переводах, совершаемых без согласия клиента. Кроме того, потребуется сообщать сведения о специальных кодах удостоверений личности, ИНН индивидуальных предпринимателей, которые хранятся в базе данных о фактах и попытках перевода денег без добровольного согласия клиента.
Ранее, в первом пакете мер против мошенников, Центробанку поручили сформировать базу данных о попытках денежных переводов без согласия клиентов. Теперь в закон добавляется положение, по которому оператор цифрового рубля (им выступает Центробанк), располагая данными из этой базы, имеет право отказать в проведении операции с цифровым рублем.
Согласно поправкам, одобренным во втором чтении, информация о случаях и попытках переводов без согласия клиента, за исключением данных об абонентских номерах, удаляется из базы через год, если она была внесена туда впервые. Если же сведения попадали в базу повторно, они подлежат удалению спустя три года.
Данные об абонентских номерах, задействованных в переводах без согласия клиента, исключаются из базы через 180 дней. Если информация была добавлена после получения данных от МВД (Министерства внутренних дел), а затем это ведомство уведомило о прекращении уголовного преследования соответствующего лица, такие сведения будут удалены из базы до истечения указанных сроков.
Версия законопроекта, принятая в первом чтении, предусматривала создание единого реестра абонентских номеров, подозреваемых в использовании для незаконной деятельности. В окончательной редакции закона эта норма была изложена иначе.
Операторы связи обязаны выявлять абонентские номера, используемые для звонков и отправки SMS с признаками противоправных действий, а также номера, на которые поступают такие вызовы и сообщения с признаками мошенничества. В обоих случаях соответствующие критерии установит правительство по согласованию с ФСБ и Центробанком. Данные о таких случаях необходимо будет направлять в ГИС «Антифрод».
Кроме того, при обнаружении через систему «Антифрод» случаев использования абонентского номера для звонков и SMS с мошенническими признаками, операторы связи обязаны временно прекращать предоставление услуг связи и пропуск трафика по данному номеру. Эти ограничения затронут все номера, выделенные оператором по соответствующему договору, а также те, что переданы в пользование физическим лицам от юридических лиц или индивидуальных предпринимателей.
В перечень критериев для выявления номеров, задействованных в незаконных действиях, должны войти такие, при обнаружении которых оператор обязан немедленно остановить пропуск трафика в свою сеть во время вызова с номера, соответствующего этим критериям, и приостановить услуги связи для такого номера при звонке внутри одной сети — в момент его установления. Если оператор не выполнит эти требования, ему придется возместить убытки абоненту, пострадавшему от мошенничества.
Уведомление о приостановке услуг связи необходимо передать в ГИС «Антифрод». Продолжительность такого приостановления определит правительство совместно с ФСБ. Также операторы обязаны направлять в систему информацию, установленную правительством.
При проверке транзакции на признаки ее совершения без добровольного согласия клиента оператор по переводу денег должен использовать данные из ГИС «Антифрод» о номерах, используемых в мошеннических целях или являющихся объектами атак, а также сведения о выявленных случаях вредоносного воздействия на ПО клиента или иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокировки, изменения, копирования или нейтрализации средств защиты.
Если оператор по переводу денег, получив из ГИС «Антифрод» информацию о мошеннических звонках на номер клиента, все же выполняет его распоряжение о денежной операции, соответствующей признакам недобровольного согласия, он обязан возместить клиенту — физическому лицу сумму перевода или операции.
Похожим образом оператор, осуществляющий переводы денег, должен будет компенсировать клиенту — физическому лицу сумму проведенной операции, если он не исполнил обязанности по проверке пользовательского программного обеспечения на наличие вредоносных программ. В обеих ситуациях возврат средств обязан производиться в течение 30 дней с даты обращения клиента, однако при условии, что у клиента имеется постановление о начале уголовного дела по факту кражи денег.
В соответствии с поправками, принятыми во втором чтении, если клиент — физическое лицо совершил перевод денег без своего добровольного согласия из-за поступления на его номер телефонного звонка или SMS, он обязан в срок не позднее 10 рабочих дней направить оператору по переводу денег заявление о возврате суммы перевода. Если оператор по переводу денег выполнил возложенные на него обязательства по проверке операций на предмет их совершения без добровольного согласия, а в ГИС «Антифрод» не было данных о поступлении на номер клиента мошеннических звонков или о приостановке услуг по пропуску трафика на номера, используемые для мошенничества, этот оператор передает обращение оператору сотовой связи и уведомляет об этом клиента.
Порядок взаимодействия между операторами связи и операторами по переводу денег установит правительство по согласованию с Центробанком. Этот порядок должен включать сведения о взаимодействии между оператором связи и оператором по переводу денег, перечень данных, предоставленных при обращении клиента, а также порядок и сроки возврата средств. Если указанные выше обстоятельства отсутствуют, оператор по переводу денег обязан вернуть клиенту средства в указанном выше порядке. При этом несоблюдение клиентом десятидневного срока для подачи заявления о возврате денег не станет причиной для отказа оператора по переводу денег. Взаимодействие оператора по переводу денег с клиентом осуществляется в рамках порядка, установленного Законом «О банках и банковской деятельности».
Оператор связи будет обязан возместить своему абоненту сумму денег, перевод которых был совершен без добровольного согласия или с согласия, полученного путем злоупотребления доверием или под влиянием обмана, при соблюдении ряда условий. Во-первых, абонент в договоре на перевод денег должен указать номер телефона, выделенный ему данным оператором связи. Во-вторых, перевод денег должен быть получен в результате поступления абоненту телефонного звонка или SMS с номеров, используемых для мошенничества.
В-третьих, требуется, чтобы провайдер связи не соблюдал одно или несколько из перечисленных условий: передача сведений о телефонных номерах, на которые направлены мошеннические звонки и сообщения, в систему «Антифрод»; временное прекращение предоставления услуг связи и передачи трафика для номера, задействованного в мошеннических звонках и сообщениях; приостановка передачи трафика в собственную сеть в момент установления телефонного соединения, если этот звонок поступил с номера, используемого в мошеннических целях; прекращение предоставления услуг связи по абонентскому номеру, применяемому для мошенничества, в момент совершения такого звонка на номер лица, пострадавшего от мошенничества в пределах одной сети.
Помимо этого, необходимо соблюдение еще нескольких условий: оператор денежных переводов обязан выполнить предъявленные к нему требования по контролю за денежными операциями на предмет отсутствия добровольного согласия; в базе данных о случаях и попытках переводов без добровольного согласия на момент выполнения денежного перевода не содержалась информация о таких случаях или попытках; клиент в течение 10 рабочих дней после осуществления перевода без добровольного согласия отправил соответствующее заявление оператору денежных переводов; у клиента имеется постановление от МВД о возбуждении уголовного дела по соответствующим обстоятельствам.
Если провайдер связи или оператор денежных переводов не вернули средства, физическое лицо имеет право требовать их возмещения через суд.
Центральный банк сможет запрашивать у кредитных учреждений данные о соблюдении ими требований по защите информации, операционной надежности, идентификации с помощью биометрии, а также по проведению мер по предотвращению снятия и внесения наличных и выдачи кредитов без добровольного согласия клиента и по противодействию переводам без согласия клиента или с согласия, полученного обманным путем.
Центральный банк должен будет определить виды электронных платежных средств, условия их выдачи и распространения, порядок и условия совершения операций с их использованием, перечень таких операций, типы документов по операциям с электронными платежными средствами и требования к ним, а также требования к внутренним банковским правилам по использованию электронных платежных средств клиентами.
Для операторов по переводу денег, банковских платежных агентов, провайдеров услуг информационного обмена, разработчиков платежных приложений, операторов платежных систем, поставщиков платежной инфраструктуры, владельцев электронных платформ и оператора цифрового рубля теперь потребуется согласовывать требования по защите информации с ФСБ и ФСТЭК. В настоящее время эти требования утверждаются только Центральным банком.
В окончательной версии закона, по сравнению с проектом, принятым в первом чтении, убрали положение о том, что граждане для упрощенной идентификации должны предъявлять паспорта в дополнение к другим документам, удостоверяющим личность. Ранее предполагалось, что ИНН потребуется для проведения операций с деньгами или другим имуществом, а также для открытия банковского счета.
Кроме того, если человек утратил доступ к ЕСИА (Единая система идентификации и аутентификации), восстановить его можно будет через ЕБС (Единая биометрическая система), с использованием сайта банка или мобильного приложения, с применением УКЭП (усиленная квалифицированная электронная подпись), через мессенджер Max, либо при личном обращении в МФЦ (многофункциональный центр оказания государственных и муниципальных услуг) или организацию, выдавшую «Госключ».